标题 | 校园网边界不良信息屏蔽系统设计 |
范文 | 杨 晋 摘要:文章所描述的边界不良信息屏蔽系统是校园网络信息安全的重要部分,主要功能是屏蔽网上不良信息,跟踪用户的上网行为。系统共分三部分:防火墙不良信息屏蔽部分主要根据过滤规则库对内、外网数据,基于已知的网址(IP)、端口、协议和关键字等进行屏蔽;检测和封堵部分主要针对路由器和核心交换机对内、外网数据,基于内容进行深度旁路检测,发现不良信息进行封堵;数据处理中心部分主要是维护特征关键词信息表,为防火墙规则库的升级服务。文章对系统中所涉及的关键技术,如数据获取、内容识别、内容过滤、匹配技术、动态跟踪技术等进行了详细分析。 关键词:防火墙;不良信息;内容过滤;数据获取;匹配技术 0引言 校园网络的建设为教学、科研和学术交流提供了一个广阔的平台,网上丰富的资源极大地方便了广大教师和学生,促进了教学的改革和教学质量的提高。但由于网络的开放性以及相关法律不健全、监管不得力等多种原因,网络在提供丰富、有用的信息的同时,也充斥着各种不健康、甚至是有害的信息,因此如何防范这些信息已成为网络工作者需要研究的重要问题。本文主要针对校园网边界不良信息的防御,采用防火墙和信息检测封堵技术,设计了校园网边界不良信息屏蔽系统,以实现对基于边界的不良信息屏蔽目的。 1系统结构及功能 网络不良信息是指互联网上出现的违背社会主义精神文明建设要求,违背中华民族优良文化传统与习惯,以及其他违背社会公德等的各类信息。系统根据用户定义的过滤和分析策略对网络数据流按不同的协议、不同的源地址和目标地址、用户定义的文字内容进行分析,并将不良信息屏蔽。 1.1系统结构 出于对网络边界出入带宽和信息处理速度的考虑,系统分为三部分:防火墙不良信息屏蔽、基于核心交换机不良信息的检测和封堵、不良信息数据处理中心,系统结构如图1所示。
1.2系统功能 系统的主要功能是屏蔽不良或不当网站,屏蔽进出校园网的有害信息,跟踪记录用户上网行为。各部分功能如下: 防火墙不良信息屏蔽部分主要根据过滤规则库对外网数据,基于已知的网址(IP)、端口、协议和关键字等进行屏蔽。 不良信息的检测和封堵部分主要针对路由器和核心交换机对内、外网数据,基于内容进行深度旁路检测,发现不良信息进行封堵。 数据处理中心部分主要从因特网获取不良信息升级资料,建立维护特征关键词信息表,为内容分析提供特征数据。同时接受封堵的不良信息数据并进行分析和处理,形成不良信息升级信息表,为防火墙规则库的升级服务。 2系统的设计与实现 根据人们获取特定信息的过程,大致上可以将信息处理分为这样几个步骤:信息获取阶段、信息处理阶段、模式匹配阶段、信息表示阶段、规则构造阶段,以及用户对于敏感信息的评价与反馈阶段。本文从这几个方面对校园网不良信息边界屏蔽系统进行研究和开发。 2.1防火墙不良信息屏蔽实现 由于Internet上存在大量不良信息,这些信息的流入和流出,都将会给系统的安全造成重大危害。本部分采用双防火墙结构,根据过滤规则对内、外网不良信息实施过滤。它适用于各种网络通信协议,例如电子邮件、文件传输、WWW、Telnet、News等,可以为提供统一的信息监测和过滤服务,能记录校园网内所有机器的活动,具有较高应用价值。各模块之间的关系如图2所示。 防火墙不良信息屏蔽系统由4个模块组成:网络数据包捕获侦听模块,信息处理模块,决策支持模块以及人机界面及行动反应模块。 网络数据包捕获侦听模块主要负责网络数据包的捕获工作,所要考虑的主要是捕获速度问题; 信息预处理模块主要是根据系统的需要对捕获到的信息进行预处理,如协议解释、关键词提取等; 决策支持模块是整个系统的核心,负责对处理后的信息的不良与否作出决策判断; 人机界面及行动反应模块根据决策的结果做出相应的处理并做好相关记录,它可实时更新一个过滤规则库,该库存放各种过滤规则,如不良网址数据库、关键词、动态分析模板、分级标准、黑白名单等。模块根据规则库中设定的安全策略规则,动态地检查进出网络的数据包,按照匹配的规则处理数据包。安全策略规则表中的每一条规则由一个六元组进行描述:AP=<Sa,Sp,Da,Dp,If,Action>,其中,Sa:Sp为源地址和端口号;Da:Dp为目的地址和端口号;If为流入接口号;Action为处理动作。当一个数据包进入防火墙后,系统根据数据包属性(源地址、源端口号、目的地址、目的端口号)以及(流入接口号),匹配安全策略。一旦匹配成功,系统则根据匹配的“处理动作”对该数据包进行相应的处理,如允许通过、丢弃、网络地址转换、流向控制转发等。 2.2基于核心交换机不良信息的检测和封堵实现 Internet中传递数据使用的应用层协议基本上都是基于面向连接的TCP协议,如HTTP、FTP、SMTP协议等。基于这些应用协议传递的数据信息,通常分布在不同的数据报中,并且伴有一定的控制信息。不良信息检测和封堵部分的作用是对防火墙过滤后的数据和各子网数据(基于核心交换机)基于不同协议数据包内容进行深度旁路检测。主要由捕包还原机和分析封包机组成。物理拓扑结构如图3所示。
图3中的核心交换机应具有广播功能,其目的是让捕包还原机能够将网卡工作模式设为杂乱模式,而获得所有数据包,捕包还原机和分析封堵机均应安装两块网卡,其中一块用于二者互连,传递数据包信息。系统划分为3个功能模块:捕包还原模块、内容分析模块和封堵模块。 捕包还原程序运行于捕包还原机上,将出入边界路由器的数据包捕获,并且还原出正文长度、源地址、目的地址、源端口和正文等信息,发送给内容分析程序模块。 内容分析程序读取数据处理机的特征关键词信息表的内容,生成敏感特征搜索树和非敏感连接搜索树,接收捕包还原模块发送来的数据包还原信息,进行消息碎片聚合,将数据包信息以消息流形式传递给特征匹配模块,进行敏感特征搜索树匹配和非敏感连接搜索树匹配。如果非敏感连接搜索树匹配成功,则丢弃该数据包信息;如果敏感特征搜索树匹配成功,即发现携带有敏感信息的数据包,立刻通知封堵模块进行封堵。 封堵程序运行于分析封堵机上,接收内容分析模块发送的待封堵信息,按照源地址和目的地址发出一个RST数据包,使目的端收到错误信息,从而达到切断连接的目的。 2.3不良信息数据处理中心 各模块功能如图5所示。数据处理中心可运行在任意PC上,其主要功能一是从因特网获取不良信息资料,建立维护特征关键词信息表,为内容分析提供特征数据。特征关键词信息表的内容主要包括敏感内容特征关键词、敏感URL连接特征码和非敏感URL连接特征码等存储在位于数据处理机中的信息 表内。二是接受封堵的不良信息数据并进行分析和处理,形成不良信息升级信息表,为防火墙规则库提供升级。 3关键技术 不良信息屏蔽技术实质是利用互联网内容管理技术,禁止或限制用户访问不良的互联网信息,从而为广大师生提供健康、安全、文明的网络环境和内容。 目前,由于音频、视频识别、过滤技术还不是十分成熟,不良信息屏蔽技术产品一般主要采取网址过滤、关键词过滤、语义分析过滤和图像过滤等技术手段。涉及到的关键技术主要包括数据获取、内容识别、内容过滤、匹配技术、动态跟踪技术等技术。 (1)数据获取技术 数据获取指采用旁路或串联方式捕获网络上的数据包,并对这些数据包按照TCP/IP的标准进行重组和剖析。旁路式指通过镜像或旁路侦听方式获取数据,其特点是获取的内容仅限于进出本地网络的数据流,不会对网络造成额外流量,对网络运行不存在影响和风险。串联式指以代理的方式串联在网络出入口,分析网络数据流中包含的数据包,对数据包头中的IP地址、URL、文件名等进行分析判断。 (2)内容识别技术 内容识别是指对获取的网络信息内容进行识别、判断、分类,确定其是否为所需要的目标内容,识别的准确度和速度是其中的重要指标。内容识别的对象主要有文本、图像、音频、视频等。 (3)内容过滤技术 内容过滤主要是针对TCP、UDP的上层协议的信息内容进行处理,且内容主要是明文或伪明文,如base64编码、压缩等。目前对加密后的信息进行内容过滤还有相当的难度。内容过滤的实现方式主要包括网址过滤、关键词过滤、语义分析过滤等。 (4)匹配技术 当用户要访问网络信息文档时,过滤系统会运用相应的匹配算法比较需求模板与信息文档。一般采用关键词、规则或分类的方法描述用户的信息需求,描述方法不同,匹配算法也不同。例如采用关键词描述的系统,适合用布尔模型、向量空间模型或概率模型进行匹配。采用分类描述的系统,可以用自动分类的方法如TFIDF分类器和Bayes分类器等进行匹配。 (5)动态跟踪技术 动态跟踪技术利用服务器日志或者专门的程序记录下用户访问网络的情况,包括访问时间、网页流量、出错情况、屏幕快照、过滤原因、网页所属类目、关键词等内容,它可以作为系统和管理员监测用户行为、记录网络使用情况和改进过滤方法的依据。 (6)不同的协议信息服务过滤方法 网络使用不同传输协议实现多种信息服务,对于不同的协议要结合不同的信息过滤方法,如表1所示。
4结束语 不良信息屏蔽技术是网络研究的重要课题。没有很好的安全机制及措施,网络很难抵御有害信息的侵蚀,同时带来无穷的后患。本文所设计的系统是实时校园网边界不良信息屏蔽工具,通过两层屏蔽防护机制,为管理人员提供了一种校园网入口不良信息入侵和向外扩散的有效屏蔽手段,能有效地保证网络上传播内容的安全性。同时该系统能记录校园网内所有机器的活动,因此可以控制校园网的网络信息安全,保证该网络中没有人员危害网络的行为和重要信息失控,并对防止保密信息的泄漏和不良信息的取证也能起到一定的作用。 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。